ノーベリウムAPTハッカーがCeeloaderマルウェアを導入

Nobelium Advanced Persistent Threat(APT)アクターが、Ceeloaderと呼ばれる新しいマルウェアで戻ってきました。 SolarWindsの攻撃で主要な役割を果たした犯罪者は、ロシアから出てきた最も有名なサイバー犯罪グループの1つです。それらの別名のいくつかは、Cozy Bear、APT29、およびTheDukesです。

当然のことながら、このような高度な脅威アクターは、多くの公開プロジェクトに依存していません。代わりに、それらのペイロードのほとんどは、これまでに見たことのないカスタムビルドのマルウェアで構成されています。 Ceeloaderはこの最新の例です。その名前が示すように、これはトロイの木馬ローダーであり、その目的は、侵害されたシステムでセカンダリペイロードが完璧に実行されるようにすることです。このマルウェアはCプログラミング言語で記述されており、その主な機能はペイロードをメモリにロードする機能です。このトリックは、ファイルレス実行とも呼ばれ、マルウェアアクティビティが残すフットプリントを大幅に削減します。 Ceeloaderマルウェアのおかげで、Nobeliumハッカーは、サイバーセキュリティ研究者によってペイロードが発見および分析される可能性を最小限に抑えることができました。

ノーベリウムAPTハッカーは注目を集めるターゲットを追いかける傾向があり、彼らの攻撃は通常のユーザーにとって確かに大きな懸念事項ではないことを付け加えることが重要です。彼らの最近の注目すべき犠牲者の1人は、米国国際開発庁です。

Ceeloaderは他の居心地の良いベアペイロードを提供します

ファイルレス実行機能とは別に、Ceeloaderマルウェアはペイロードをフェッチするために独特のトリックも使用します。 Nobeliumハッカーは、侵害されたWordPressWebサイトのネットワークを使用してペイロードをホストしているようです。これはおそらく、ランダムで評判の悪いサイトへの接続を通常フィルタリングするセキュリティ対策を回避するのに役立つことを意味します。さらに、セキュリティ研究者が悪意のあるトラフィックを通常のトラフィックと区別することがより困難になります。 Ceeloaderマルウェアは、Tomiris BackdoorTrojanなどの他のカスタムビルドのNobeliumペイロードと組み合わせて使用される可能性があります。このキャンペーンの範囲はまだ明確ではありません。

December 8, 2021